29. mai 2026 | Imprimer l'article | |

NIS2 est en application : premières procédures, responsabilité personnelle, BSI audite

7 Min. de lecture

NIS2 est passée de la phase de préparation à celle d’application. Les premiers États membres publient des sanctions, l’Allemagne a engagé des procédures contre plusieurs entités pour des déclarations tardives, et le BSI audite activement. Ce qui est nouveau, ce n’est pas la directive, mais son sérieux : des amendes pouvant atteindre dix millions d’euros ou deux pour cent du chiffre d’affaires annuel mondial, et la direction générale engage sa responsabilité personnelle. Cela déplace la question du « si » au « maintenant ».

Les points clés en bref

  • L’application est en cours. Les premières sanctions sont publiées, l’Allemagne a engagé des procédures pour des déclarations tardives.
  • La direction générale est responsable. Amendes jusqu’à dix millions d’euros ou deux pour cent du chiffre d’affaires, plus responsabilité personnelle de la direction.
  • Le BSI audite activement. La traçabilité des mesures prime désormais sur leur simple existence.

En lien :Le token qui contourne la MFA  /  Responsabilité cyber dans l’administration

Ce que signifie le passage à l’application

Qu’est-ce que NIS2 ? NIS2 est la directive européenne sur la sécurité des réseaux et des systèmes d’information. Elle impose aux entités essentielles et importantes une gestion des risques, des obligations de déclaration en cas d’incident et des mesures de sécurité traçables. Contrairement à la directive précédente, NIS2 rend explicitement la direction générale responsable.

Pendant des années, NIS2 était un projet pour l’avenir : un niveau de maturité que l’on souhaitait atteindre un jour. Cette phase est révolue. Avec les premières sanctions publiées et les procédures en cours, la directive est devenue une obligation contraignante. Pour un SOC, cela change les priorités. Il ne suffit plus d’avoir des mesures en place. Elles doivent être documentées, traçables et déclarables dans les délais en cas d’incident.

L’obligation de déclaration est le premier écueil. Les procédures allemandes concernent des déclarations tardives, et non un manque de technique. Une déclaration initiale sous 24 heures et un rapport détaillé sous 72 heures exigent un processus rodé, et non une approche improvisée. Celui qui, lors d’un incident, commence à réfléchir à qui doit déclarer quoi et à qui, perd précisément le délai qui est désormais sanctionné.

10 Mio. €
ou deux pour cent du chiffre d’affaires annuel mondial menacent les entités essentielles en cas d’infraction, selon le montant le plus élevé.
Source : Directive NIS2, cadre de sanctions pour les entités essentielles

Pourquoi la responsabilité personnelle change tout

Le véritable levier de NIS2 n’est pas le montant des amendes, mais leur ciblage. La directive impose aux organes de direction d’approuver et de superviser les mesures de gestion des risques. La cybersécurité devient ainsi, au sens littéral, une affaire de direction. En cas de manquements graves, ce ne sont pas seulement des sanctions financières qui menacent, mais aussi une responsabilité personnelle pouvant aller jusqu’à des interdictions temporaires d’exercer pour les dirigeants.

Pour la pratique au sein du SOC, c’est à la fois une bonne nouvelle et une obligation. Bonne nouvelle, car le vieux problème des budgets de sécurité bloqués au niveau de la direction disparaît. Quand la direction est responsable, elle s’y intéresse. Obligation, car le SOC doit désormais fournir ce dont la direction a besoin pour remplir ses obligations : des preuves tangibles que les mesures existent, fonctionnent et sont activées en cas d’incident.

Ne suffit plus

  • Mesures en place, mais non documentées
  • Processus de déclaration seulement sur le papier
  • Sécurité considérée comme un sujet purement informatique

Résiste à l’audit

  • Mesures documentées et traçables
  • Processus de déclaration 24/72 heures rodé
  • Direction approuve et supervise de manière traçable

Ce qu’un SOC doit désormais prouver concrètement

Le premier point concerne la chaîne de déclaration. Qui constate, qui décide, qui déclare, et dans quel délai ? Ce processus doit être testé, pas seulement décrit. Un exercice sur table simulant un incident révèle en une heure les points de blocage d’une déclaration réelle : responsabilités floues, coordonnées manquantes de l’autorité compétente, absence de modèle de déclaration préparé.

Le deuxième point est la traçabilité. Le BSI ne vérifie pas si la bonne volonté était présente, mais si les mesures sont prouvables. Des logs attestant que les correctifs ont été appliqués. Des protocoles prouvant que les accès sont surveillés. Une évaluation des risques documentée, signée par la direction. Ce qui n’est pas documenté n’existe pas lors de l’audit.

Lors d’un audit, ce qui compte, ce n’est pas ce qu’une équipe a fait, mais ce qu’elle peut prouver. Une mesure efficace sans preuve n’est pas une mesure aux yeux des autorités.

Le troisième point concerne la chaîne d’approvisionnement. NIS2 exige que la sécurité des fournisseurs soit également évaluée. Une entreprise est responsable non seulement de sa propre technologie, mais aussi des risques qu’elle encourt via ses prestataires. C’est un travail que beaucoup doivent encore accomplir, car il nécessite un inventaire des fournisseurs critiques et de leur niveau de sécurité. Ceux qui n’ont rien à présenter ici affichent une faille visible.

Le constat sobre : NIS2 n’invente pas de nouvelles technologies. Elle impose de la discipline dans ce qui était déjà une bonne pratique. Appliquer les correctifs, surveiller, déclarer, documenter. La différence, c’est que cette discipline est désormais contrôlée et sanctionnée, et que la direction en répond. Ceux qui n’ont pas de preuves lors du prochain audit du BSI ou d’un incident ont manqué le délai où la préparation coûtait moins cher que l’amende.

Foire aux questions

NIS2 est-elle vraiment applicable désormais ?

Oui. Dans les premiers États membres, des sanctions sont publiées, l’Allemagne a engagé des procédures pour des déclarations tardives, et le BSI mène activement des audits. La phase de préparation est passée à l’exécution.

À combien peuvent s’élever les amendes ?

Pour les entités essentielles, jusqu’à dix millions d’Euro ou deux pour cent du chiffre d’affaires annuel mondial, selon le montant le plus élevé. S’y ajoutent d’éventuelles conséquences personnelles pour la direction.

Que signifie la responsabilité personnelle de la direction ?

Les organes de direction doivent approuver et superviser les mesures de sécurité. En cas de violations graves, ils encourent, outre des amendes, une responsabilité personnelle et, dans les cas extrêmes, des interdictions temporaires d’exercer. La cybersécurité devient ainsi littéralement une affaire de direction.

Quel est le délai pour déclarer un incident ?

Une déclaration initiale doit être effectuée dans les 24 heures, suivie d’un rapport détaillé sous 72 heures. Les retards précis dans les déclarations sont au cœur des premières procédures allemandes, d’où l’importance d’un processus de signalement bien rodé.

Que vérifie le BSI lors de l’audit ?

La traçabilité des mesures. Journaux, protocoles et une évaluation des risques signée par la direction. Ce qui n’est pas documenté est considéré comme inexistant lors de l’audit, indépendamment de sa mise en œuvre technique.

Plus d’articles du réseau MBF Media

cloudmagazin

L’écosystème cloud-native mûrit : Knative et Kubernetes 1.34

mybusinessfuture

Ne plus se positionner, mais être cité : la GEO en B2B

digital-chiefs

La souveraineté cloud devient une affaire de direction

Source de l’image : générée par IA (juin 2026)

Imprimer l'article
Alec Chizhik

À propos de l'auteur: Alec Chizhik

Plus d'articles de

Aussi disponible en

EspañolEnglishDeutsch
Un magazine de Evernine Media GmbH